Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Plz Help

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 23.03.2005, 17:09   #1
Paul7338
 
Plz Help - Standard

Plz Help



Eine frage ist:
O2 - BHO: (no name) - {AFDA0BB2-770F-8F17-7397-18432B23215F} - (no file)
O2 - BHO: (no name) - {E52EDADC-495E-B4C4-2CF2-91D111A16DA8} - (no file)

böse???

falls ja ich kann es nicht Fixen weder im abgesicherten Modus!



Logfile of HijackThis v1.99.1
Scan saved at 17:08:21, on 23.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\kingate-1.6-win32\bin\kingate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\StealthBot\StealthBot v2.6.exe
C:\Programme\StealthBot\StealthBot v2.6.exe
C:\Programme\FlashFXP\flashfxp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\FlashFXP\flashfxp.exe
C:\Programme\FlashFXP\flashfxp.exe
D:\Spiele\Starcraft\StarCraft.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Hijack this\HijackThis.exe

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {AFDA0BB2-770F-8F17-7397-18432B23215F} - (no file)
O2 - BHO: (no name) - {E52EDADC-495E-B4C4-2CF2-91D111A16DA8} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: (no name) - {ED756BE8-0E51-8DBF-4E48-673CDFA2D284} - (no file)
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: kingate - Unknown owner - C:\Programme\kingate-1.6-win32\bin\kingate.exe

Alt 23.03.2005, 19:26   #2
Rene-gad
 
Plz Help - Standard

Plz Help



@Paul7338
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
Zitat:
020 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll
Ist ein Backdoor : http://www.sophos.de/virusinfo/analy...jhaxdoorh.html
Vorgehensweise bei einem Backdoor:
1.PC vom Internet trennen
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung
3 Vernünftig absichern:Info
4.Alle Passwörter wechseln.
Noch Details:
Ich habe Virus...
10 Immutable Laws...
__________________


Alt 23.03.2005, 21:51   #3
Paul7338
 
Plz Help - Standard

Plz Help



Hmm 020 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll ist irgendwie gar nicht da in dem Ordner und wenn ich die Fixe dann wird sie auch nicht gelöscht sondern bein nächsten mal wieder angezeigt bei HijackThis komisch irgendwie nicht vorhanden die Datei


Finde nicht mal was wenn ich die gesamte festplatte mit der windows Suchmachiene nach draw32.dll durchsuche
__________________

Alt 24.03.2005, 06:50   #4
Rene-gad
 
Plz Help - Standard

Plz Help



@Paul7338
Zitat:
020 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll ist irgendwie gar nicht da in dem Ordner und wenn ich die Fixe dann wird sie auch nicht gelöscht sondern bein nächsten mal wieder angezeigt bei HijackThis komisch irgendwie nicht vorhanden die Datei
Eben deswegen musst du deine FP neu formatieren.

Alt 24.03.2005, 09:42   #5
Paul7338
 
Plz Help - Standard

Plz Help



hmm ich habe aber eigentlich keine Probleme mit meinem PC und deswegen formatiere ich auch nicht wegen einer Datei die ich nicht mal auf meinem p c finden kann!


Alt 24.03.2005, 10:58   #6
Paul7338
 
Plz Help - Standard

Plz Help



Irgendwo muss die Datei doch sein oder nicht? würde ich die datei in Dos finden?

Alt 24.03.2005, 12:05   #7
Rene-gad
 
Plz Help - Standard

Plz Help



@Paul7338
Zitat:
ich habe aber eigentlich keine Probleme mit meinem PC
Mit deinem PC? Träum' weiter. Nach einem installierten Backdoor es ist in keiner Weise dein PC mehr. Kapierst du es nicht?

Alt 24.03.2005, 13:30   #8
Paul7338
 
Plz Help - Standard

Plz Help



Ich habe aber einen Router und fast alle Ports sind zu also? So leicht kann sich keiner bei mir einhacken

Alt 24.03.2005, 14:19   #9
Haui45
 
Plz Help - Icon19

Plz Help



Mach was du willst, oder lass mal deinen "tollen" Virenscanner drüberlaufen

Alt 25.03.2005, 01:23   #10
Paul7338
 
Plz Help - Standard

Plz Help



All comments about draw32.dll
Alexander Telbiz Never heard it before,the program says it does not exist anymore,which is strange...
I heard that it is linked to vtd_16.exe which is some sort of new re-booting virus
Seems to be linked to vtd_16.exe. They seem to watch one another to make sure one of them is running as a hidden process


Habe ich irgendwo gefunden! kann die dll datei denn überhaupt irgendetwas machen? weil ich habe vtd_16.exe nicht auf meinem p c

ausserdem habe ich mit e-scan File C:\WINDOWS\System32\vdnt32.sys infected by "Backdoor.Win32.Haxdoor.ar" Virus. Action Taken: No Action das noch gefunden finde die datei aber auch nicht das selbe problem!

Geändert von Paul7338 (25.03.2005 um 01:32 Uhr)

Alt 25.03.2005, 01:39   #11
Paul7338
 
Plz Help - Standard

Plz Help



Zitat:
Boot into DOS or a command prompt. Delete draw32.dll, p2.ini, cm.dll, vdnt32.sys, hm.sys, memlow.sys, wd.sys, klogini.dll, tmpf00.exe and especially VD16.exe using the old DOS commands del filename. Then type edit to open the DOS text editor and create text files with the same names. Check in DOS that the have the same names and not the .txt extensions. If you have to do the old DOS command ren filename filename to rename them. Then attrib +r filename to make them read-only.
Das habe ich auch noch gefunden!

Klogini.dll habe ich auch immer die erstellt sich immer neu?

Alt 25.03.2005, 01:42   #12
Paul7338
 
Plz Help - Standard

Plz Help



Ich kann den mist also nur unter dos löschen

Alt 25.03.2005, 01:48   #13
Paul7338
 
Plz Help - Standard

Plz Help



c:\WINDOWS\system32\klogini.dll size: 0 bytes
c:\WINDOWS\system32\p2.ini size: 320 bytes
c:\WINDOWS\system32\ps.a3d size: 95 bytes
C:\WINDOWS\system32\cm.dll size: 28960 bytes (Backdoor.Win32.Haxdoor.av)
C:\WINDOWS\system32\draw32.dll size: 28960 bytes (Backdoor.Win32.Haxdoor.av)
C:\WINDOWS\system32\hm.sys size: 15872 bytes (Backdoor.Win32.Haxdoor.gen)
C:\WINDOWS\system32\memlow.sys size: 4096 bytes (Backdoor.Win32.Haxdoor.ar)
C:\WINDOWS\system32\vdnt32.sys size: 15872 bytes (Backdoor.Win32.Haxdoor.gen)
C:\WINDOWS\system32\wd.sys size: 4096 bytes (Backdoor.Win32.Haxdoor.ar)



HKEY_CURRENT_USER\Identities\{D4086F36-0B1C-4F8B-883F-F6A433830ADF}\Software\Microsoft\Internet Account Manager
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEMLOW
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMLOW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32




nur halt alle datein nicht da ausser Klogini.dll nur die erstellt sich jede 5 minuten neu der rest ist nicht da obwohl ich versteckte datein anzeigen und so habe

Alt 25.03.2005, 01:49   #14
Haui45
 
Plz Help - Standard

Plz Help



-> Antwort steht in Post #2, erstellt von Rene-gad am 23.03.2005 um 19:26 Uhr.

Alt 25.03.2005, 01:52   #15
Paul7338
 
Plz Help - Standard

Plz Help



Okey andere können sich bei mir einhacken aber ich habe einen router und deswegen nicht siehe hier das programm dafür



Antwort

Themen zu Plz Help
abgesicherten modus, bho, browser, cdrom, check, download, explorer, file, frage, help, helper, hijack, hijack this, hijackthis, hotkey, icq, internet, internet explorer, java, programme, spiele, system, system32, windows, windows xp, winlogon



Zum Thema Plz Help - Eine frage ist: O2 - BHO: (no name) - {AFDA0BB2-770F-8F17-7397-18432B23215F} - (no file) O2 - BHO: (no name) - {E52EDADC-495E-B4C4-2CF2-91D111A16DA8} - (no file) böse??? falls ja ich kann es nicht - Plz Help...
Archiv
Du betrachtest: Plz Help auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.